Parte II - Elementos De Gestin De Riesgos En Informtica
La funcin de la gestin de riesgos es identificar, estudiar y eliminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informticos. La gestin de riesgos se divide generalmente en: Estimacin De Riesgos La estimacin de riesgos describe cmo estudiar los riesgos dentro de la planeacin general del entorno informtico y se divide en los siguientes pasos: La identificacin de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informtico. El anlisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organizacin. La asignacin de prioridades a los riesgos. Identificacin De Riesgos En este paso se identifican los factores que introducen una amenaza en la planificacin del entorno informtico. Los principales factores que se ven afectados son: Creacin de la planificacin, que incluye: lanificacin e!cesivamente optimista, planificacin con tareas innecesarias, y organizacin de un entorno informtico sin tener en cuenta reas desconocidas y la envergadura del mismo. La organizacin y gestin, que incluye: resupuestos bajos, El ciclo de revisin"decisin de las directivas es ms lento de lo esperado. El entorno de trabajo, que incluye: #al funcionamiento de las $erramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnolog%as es mas larga de lo esperado. Las decisiones de los usuarios finales, que incluye: &alta de participacin de los usuarios finales y la falta de comunicacin entre los usuarios y el departamento de informtica El personal contratado, que incluye: &alta de motivacin, falta de trabajo en equipo y trabajos de poca calidad. Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo. Anlisis De Riesgos 'na vez $ayan identificado los riesgos en la planificacin, el paso siguiente es analizarlos para determinar su impacto, tomando as% las posibles alternativas de solucin. La e!plicacin de (nlisis de riesgos se e!tender posteriormente. Exposicin A Riesgos 'na actividad )til y necesaria en el anlisis de riesgos es determinar su nivel de e!posicin en cada uno de los procesos en que se $ayan identificado. Estimacin De La Probabilidad De Perdida Las principales formas de estimar la probabilidad de p*rdida son las siguientes: +isponer de la persona que est ms familiarizada con el entorno informtico para que estime la probabilidad de ocurrencia de eventos perjudiciales. 'sar t*cnicas +elp$i o de consenso en grupo. El m*todo +elp$i consiste en reunir a un grupo de e!pertos para solucionar determinados problemas. +ic$o grupo realiza la categorizacin individual de las amenazas y de los objetos del riesgo. 'tilizar la calibracin mediante adjetivos, en la cual las personas involucradas eligen un nivel de riesgo entre ,probable, muy probable- y despu*s se convierten a estimaciones cuantitativas. 1 Prioriacin De Riesgos En este paso de la estimacin de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestin de riesgos. Cuando se realiza la priorizacin ,elementos de alto riesgo y peque.os riesgos-, estos )ltimos no deben ser de gran preocupacin, pues lo verdaderamente cr%tico se puede dejar en un segundo plano. !ontrol De Riesgos 'na vez que se $ayan identificado los riesgos del entorno informtico y analizado su probabilidad de ocurrencia, e!isten bases para controlarlos que son: lanificacin /esolucin de riesgos #onitorizacin de riesgos Planificacin De Riesgos 0u objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran e!puestos las actividades informticas. Resol"cin De Riesgos La resolucin de los riesgos est conformado por los m*todos que controlan el problema de un dise.o de controles inadecuado, los principales son: 1. Evitar el /iesgo : 2o realizar actividades arriesgadas. 3. Conseguir informacin acerca del riesgo. 4. lanificar el entorno informtico de forma que si ocurre un riesgo, las actividades informticas sean cumplidas. 5. Eliminar el origen del riesgo, si es posible desde su inicio. 6. (sumir y comunicar el riesgo. ara ilustrar la forma en que puede controlar algunos de estos riesgos, la tabla 2o.4 ilustra los m*todos de control ms comunes: RIESGO METODOS DE CONTROL Cambio de la prestacin del servicio Uso de tcnicas orientadas al cliente Dise!o para n"evos cambios Recorte de la calidad De#ar tiempo a las actividades de control $lani%icacin demasiado optimista Utili&acin de tcnicas ' (erramientas de estimacin $roblemas con el personal contratado $edir re%erencias personales ' laborales Contratar ' plani%icar los miembros clave del e)"ipo m"c(o antes de )"e comience el pro'ecto 7abla 2o. 4 #*todos de control de riesgos ms $abituales #onitoriacin De Riesgos La vida en el mundo informtico ser%a ms fcil si los riesgos apareciesen despu*s de que $ayamos desarrollado planes para tratarlos. ero los riesgos aparecen y desaparecen dentro del entorno informtico, 2 por lo que se necesita una monitorizacin para comprobar como progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales en las actividades informticas. $. Parte III - Anlisis De Riesgos El objetivo general del anlisis de riesgos es identificar sus causas potenciales, en la figura 2o. 5 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informtico. Esta identificacin se realiza en una determinada rea para que se pueda tener informacin suficiente al respecto, optando as% por un adecuado dise.o e implantacin de mecanismos de control8 a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de anlisis. (dems el anlisis de riesgos cumple los siguientes objetivos: (nalizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas. Llevar a cabo un minucioso anlisis de los riesgos y debilidades. 9dentificar, definir y revisar los controles de seguridad. +eterminar si es necesario incrementar las medidas de seguridad. Cuando se identifican los riesgos, los per%metros de seguridad y los sitios de mayor peligro, se pueden $acer el mantenimiento mas fcilmente. (ntes de realizar el anlisis de riesgos $ay que tener en cuenta los siguientes aspectos: 0e debe tener en cuenta las pol%ticas y las necesidades de la organizacin as% como la colaboracin con todas las partes que la conforman y que intervienen en los procesos bsicos. +ebe tenerse en cuenta los nuevos avances tecnolgicos y la astucia de intrusos e!pertos. 7ener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control. El comit* o la junta directiva de toda organizacin debe incluir en sus planes y presupuesto los gastos necesarios para el desarrollo de programas de seguridad, as% como tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen funcionamiento de todo programa de seguridad. :tro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informtico, sin olvidar los costos adicionales que se generan por su implementacin. El anlisis de riesgos utiliza el m*todo matricial llamado #(( +E /9E0;:0, para identificar la vulnerabilidad de un servicio o negocio a riesgos t%picos, El m*todo contiene los siguientes pasos: Localizacin de los procesos en las dependencias que intervienen en la prestacin del servicio ,<er figura 2o. 6-. 3 &9;'/( 2o. 6 #atriz de dependencias vs. rocesos Localizacin de los riesgos cr%ticos y su efecto en los procesos del 2egocio. En este paso se determina la vulnerabilidad de una actividad a una amenaza. ara asignar un peso a cada riesgo 8 se consideran tres categor%as de vulnerabilidad ,1 baja, 3 media, 4 alta- que se asignarn a cada actividad de acuerdo a su debilidad a una amenaza ,causa de riesgo-. or ejemplo, si afirmamos que el riesgo a una +ecisin equivocada tiene alto riesgo de vulnerabilidad, entonces tendr%a alta prioridad dentro de nuestras pol%ticas de seguridad ,<er figura 2o. =-. RIESGO *+, Obtenido -"lnerabilidad Decisiones e)"ivocadas ./ 0LT0 1ra"de .. MEDI0 2"rto .3 MEDI0 &9;'/( 2o. = #atriz de riesgos vs. <ulnerabilidad +entro del entorno informtico las amenazas ,causas de riesgo- se pueden clasificar as%: 2aturales: 9ncluyen principalmente los cambios naturales que pueden afectar de una manera u otra el normal desempe.o del entorno informtico8 por ejemplo, la posibilidad de un incendio en el sitio donde se encuentran los concentradores de cableado dado que posiblemente estn rodeados de paredes de madera es una amenaza natural. (ccidentales: 0on las ms comunes que e!isten e incluyen: Errores de los usuarios finales: or ejemplo, El usuario tiene permisos de administrador y posiblemente sin intencin modifica informacin relevante. Errores de los operadores: or ejemplo, si un operador ten%a un sesin abierta y olvid salir del sistema8 alguien con acceso f%sico a la mquina en cuestin puede causar estragos. Error administrativo: or ejemplo, 9nstalaciones y configuraciones sin contar con mecanismos de seguridad para su proteccin. Errores de salida: or ejemplo, 9mpresoras u otros dispositivos mal configurados. Errores del sistema: or ejemplo, da.os en arc$ivos del sistema operativo. Errores de comunicacin: or ejemplo, permitir la transmisin de informacin violando la confidencialidad de los datos. 4 +eliberadas: Estas amenazas pueden ser: activas ,accesos no autorizados, modificaciones no autorizadas, sabotaje- pasivas,son de naturaleza muc$o ms t*cnica, como: emanaciones electromagn*ticas y"o microondas de interferencia-. Localizacin de los riesgos cr%ticos en las dependencias de la empresa y procesos que intervienen en el negocio ,<er figura 2o. > y figura 2o. ?-. $roceso 4 Ries5o Decisiones e)"ivocadas 1ra"de 2"rto Gestin de centros transaccionales 6 6 0dministracin de sistemas 6 6 0tencin al cliente 6 6 Conciliacin de c"entas 6 6 6 &9;'/( 2o. > #atriz de rocesos vs. /iesgo Ries5os -s Dependencias Divisin 1inanciera Sistemas Cartera Contabilidad Decisiones e)"ivocadas 6 6 1ra"de 6 6 6 6 2"rto 6 6 6 6 &9;'/( 2o. ? #atriz de riesgo vs. +ependencia 9dentificar los controles necesarios: En este paso se precisan los controles, los cuales son mecanismos que ayudan a disminuir el riesgo a niveles m%nimos o en algunos casos eliminarlos por completo. 0e debe tener en cuenta que dic$as medidas tienen tres diferentes capacidades que incluyen: mecanismos de prevencin, mecanismos de deteccin y mecanismos de correccin8 y que dentro de un proceso negocio funcionan como se describe en la figura 2o. @. En este paso se incluye la funcionalidad y utilidad del control, y se identifican las personas responsables de la implantacin de los controles. 5 &igura 2o. @ &uncin de las medidas de control preventivas, de deteccin y correctivas. +ise.ar los controles definitivos: En este paso se tienen los productos necesarios para iniciar el proceso de implantacin de los controles utilizados o bien para empezar la construccin de dic$os mecanismos. Los siguientes criterios permiten evaluar en un monto simblico los mecanismos de control: Confidencialidad: 0e refiere a la proteccin de la informacin principalmente de accesos no autorizados. 9nformacin del personal, investigaciones y reportes de desarrollo son algunos de los ejemplos de informacin que necesita confidencialidad. 9ntegridad: Es el servicio ofrecido por el departamento de informtica. +ebe ser adecuado, completo y aut*ntico en el momento de ser procesada, presentada, guardada o transmitida la informacin. +isponibilidad: 9ndica la disponibilidad que pueden tener en un determinado momento las actividades informticas. Esta disponibilidad debe ser inmediata. /esultados del anlisis de riesgos: Los resultados del anlisis de riesgos, deben dados a conocer oportunamente para que sean incorporados, desde las primeras fases del proceso. <erificar por parte de la auditor%a informtica, la incorporacin oportuna de los controles: La auditor%a informtica debe conocer el resultado del anlisis de riesgos y verificar su implantacin oportuna, para asegurar los mejores niveles de calidad, seguridad y efectividad de los procesos informticos. 6 ;losario E/;:2:#9( +isciplina cient%fica que pone las necesidades y capacidades $umanas como el foco del dise.o de sistemas tecnolgicos. 0u propsito es asegurar que los $umanos y la tecnolog%a trabajan en completa armon%a, manteniendo los equipos y las tareas en acuerdo con las caracter%sticas $umanas. /9E0;: Es el valor de las p*rdidas a que se e!ponen las empresas por la ocurrencia de eventos perjudiciales. (#E2(A( Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que generan cada uno de los riesgos. C:27/:L Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las p*rdidas ocasionadas por ellas. Los controles sirven para asegurar la consecucin de los objetivos de la organizacin o asegurar el *!ito de un sistema y para reducir la e!posicin de los riesgos, a niveles razonables. Los objetivos bsicos de los controles son : revenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo , y retroalimentando el sistema de control interno con medios correctivos. 92BE/E27E Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa. (C79<9+(+ Ente que necesita ser realizado para completar una o varias tareas espec%ficas. 2E;:C9: Empresa privada o p)blica que provee productos y servicios, para satisfacer los requerimientos de un cliente determinado. 7 %. &ibliograf'a C:L:#C9(.9nstituto Colombiano de 2ormas t*cnicas y certificacin ,9C:27EC-. 0istemas de calidad. 0anta &e de Cogot +.C.: 1@@5. 31p. 27CD90: @EE1. C:/EF #ic$ael y (CCEF #ic$ael, :/(CLE +ata Gare$ousing: La seguridad de los datos, primera edicin, Espa.a: Editorial #c;raH Bill, 1@@>. 414 p. 90C2: ?5D5?1DE@@?D?. +E//9E2 Fann, 7*cnicas de la (uditor%a 9nformtica: La direccin de la misin de la auditor%a, #*!ico +.&.: Ediciones (lga :mega 0.(., 1@@6. 33? p. 90C2 @>ED16DEE4EDI. Equipo de economistas +<E, Curso completo de auditor%a: 9ntroduccin, Carcelona D Espa.a: Editorial +e <ecc$i, 0.(., 1@@1, 3E= p., 90C2 : ?5D416DE@6>DE. &(/LEF #arc, ;u%a de L(2 79#E0J de seguridad e integridad de datos: 0eguridad informtica, primera edicin, #adrid,Espa.a-: Editorial #c ;raHDBill, 1@@=. 453 p. 90C2: EDE>D??31==D6. 9C# Education and 7raining, 9nternet 0ecurity and fireHalls concepts D 0tudent 2otebooK. 1@@6. Course code 924E. 9C# Corporation, 0.:.0. en su sistema de computacin, primera edicin, #*!ico: Editorial renticeD Ball Bispanoamericana, 0.(., 1@@?. 311 p. 90C2: @>ED1>DE11EDE. #C C:22ELL 07E<E, +esarrollo y gestin de proyectos informticos: ;estin de riesgos, primera edicin, (ravaca,#adrid-: Editorial #c. ;raH Bill, 1@@=. =@1 p. 90C2:?5D5?1D133@D=. #E2+EA Carlos E., #etodolog%aD;u%a para elaborar dise.os de investigacin en ciencias econmicas, contables y administrativas, segunda edicin, 0anta &e de Cogot: Editorial #c ;raH Bill, 1@@4. 1>E p. 90C2: @6?D=EED55=D6. 929LL( Los* +agoberto, (uditor%a 9nformtica D (plicaciones en roduccin: (nlisis de riesgos, primera edicin, 0anta &e de Cogot: EC:E Ediciones, 1@@>. 34? p. 90C2: @6?D=5?D14@D6. 0(LLE2(<E Lean aul, ;erencia y laneacin Estrat*gica: El m*todo +elfi, segunda edicin, Colombia: Editorial 2orma, 1@@=. 3?E p. 90C2: @6?DE5D41=3DE. 0C(/:L( /obert, 2:<ELL 2etHare, primera edicin, #adrid: Editorial #c ;raH Bill, 1@@3. 3@5 p. 90C2 ?5D>=16D@56D6. 0E22 Lames (., (nlisis y +ise.o de 0istemas de 9nformacin, 0egunda edicin: Editorial #c ;raH Bill. <(';B(2 E##E77 L., /isK #anagement, rimera edicin, Estados 'nidos de (merica: Editorial Lo$n Giley M 0ons, 1@@>. ?13 p. 90C2 ED5>1D1E>6@DI. 8